LINUX.ORG.RU

Выявлен бэкдор, организующий скрытый канал связи в легитимном сетевом трафике

 ,


0

2

В результате анализа атаки на одного из крупных хостинг-провайдеров выявлен новый вид бэкдора для GNU/Linux, выполненный в форме разделяемой библиотеки, перехватывающей ряд стандартных вызовов. Библиотека связывается с работающими на системе сетевыми процессами, такими как sshd, берёт на себя обработку указанных вызовов и получает контроль над трафиком поражённых серверных приложений.

При работе бэкдор использует штатные серверный процессы и прослушивает их сетевой трафик. Бэкдор отслеживает появление в трафике маски :!;., при обнаружении которой декодирует следующий за ней блок данных. Данные зашифрованы шифром Blowfish и следуют в формате Base64.

Через закодированные блоки могут передаваться управляющие команды для выполнения произвольной shell-команды или инициирующие отправку собранных данных. Основной функцией бэкдора является перехват и накопление конфиденциальных данных, таких как пароли, ключи шифрования и e-mail. В частности, осуществляется перехват паролей и SSH-ключей пользователей, подключающихся к поражённой системе.

Подробности об атаке, в результате которой был установлен бэкдор, не сообщаются.

>>> Подробности

★★★★

Проверено: Shaman007 ()

Ответ на: комментарий от billic

использовать только знакомые share-библиотеки, наверное.

/me задумался, а когда же он, собственно, использовал незнакомые... Вроде все из реп ставлю.

RedEyedMan3 ()

Библиотека связывается с работающими на системе сетевыми процессами, такими как sshd, берёт на себя обработку указанных вызовов и получает контроль над трафиком поражённых серверных приложений.

А можно подробнее на этом месте? Он сетевой интерфейс слушает что-ли? Дампит весь траффик? Или же чувак скомпилировал sshd с нужными правками в сорсах?

anonymous ()
Ответ на: комментарий от RedEyedMan3

атаки на одного из крупных хостинг-провайдеров

Подробности об атаке, в результате которой был установлен бэкдор, не сообщаются.

кто знает, какие порядки у этого провайдера %)

billic ★★ ()
Ответ на: комментарий от anonymous

:!;.cm0gLXJmIC8q

Он сетевой интерфейс слушает что-ли? Дампит весь траффик? Или же чувак скомпилировал sshd с нужными правками в сорсах?

В статье Symantec'а же написано:

Rather, the back door code was injected into the SSH process to monitor network traffic and look for the following sequence of characters: colon, exclamation mark, semi-colon, period (“:!;.”).

The fragmented file is a shared library and appears to hook a number of functions (read, EVP_CipherInit, fork, ioctl, etc.). Once the code is activated, it can perform the following actions:

edigaryev ★★★★★ ()
Ответ на: комментарий от anonymous

А можно подробнее на этом месте? Он сетевой интерфейс слушает что-ли? Дампит весь траффик? Или же чувак скомпилировал sshd с нужными правками в сорсах?

Тоже хотелось бы подробностей. ИМХО это что-то на тему LD_PRELOAD, который почему-то оказался невыключенным для setuid процессов.

asaw ★★★★★ ()

видимо через этот бекдор Сноуден сбежал из пентогосии

zyoung ()
Ответ на: комментарий от Sullome

А название этой библиотеки не сообщается. Нда. Или я спросонья чего-то не понял?

Ты сколько спал, лет 50 чтоли? Какая разница, под каким именем тебе впарят это файл?

af5 ★★★★★ ()
Ответ на: комментарий от anonymous

Скрипт этот явно К.О. писал по тексту новости. Вопрос в том, как так получилось, что этот код подгрузился в чужой процесс.

asaw ★★★★★ ()
Ответ на: комментарий от RedEyedMan3

А тут дело не в использовании. Бэкдоры обычно распространяются хакерами, которые через уязвимость взламывают систему и оставляют в ней бэкдор. Так что не вижу поводов для паники и массовой истерии.

Sociopsih ★☆ ()
Ответ на: комментарий от Reset

Касперыча накатывать

уж лучше коньячку накатить

gray ★★★★★ ()
Ответ на: комментарий от af5

Действительно. Спросонья мне как-то не пришло это в голову.

Sullome ()
Ответ на: комментарий от RedEyedMan3

Если не уточняется происхождение, то вполне возможно, что зафоршмачен ред хат, а вместе с ним и репы всех линуксячьих дистрибутивов.

anonymous ()
Ответ на: комментарий от anonymous

Достал коробок древнего касперыча 6.0 и произвел над ним акт дефекации.

Раньше в коробках анализы кала сдавали.

bbk123 ★★★★★ ()
Ответ на: комментарий от anonymous

Достал агрегат и совершил акт деуринации на лицо петросянящего анонима.

anonymous ()
Ответ на: комментарий от af5

Какая разница, под каким именем тебе впарят это файл?

Такая, что эту библиотеку кто-то должен использовать, в частности, как в топике написано, sshd. Сама собой библиотека к sshd не присосётся. sshd её или сам позвать должен, или через другие библиотеки, с которыми слинкован. Соответственно, или путь на эту библиотеку должен оказаться, к примеру, в ld.so.conf, или она, вообще, должна что-то системное подменить, как есть.

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)

Не зря IBM проталкивает механизмы выполнения только подписанного кода на уровне ядра? Есть возможность подписывать и библиотеки?

Infra_HDC ★★★★★ ()
Ответ на: комментарий от Infra_HDC

ага а после полуночи линукс превратится в тыквук

Deleted ()

Хорошо, что у меня не установлен sshd!

Deleted ()
Ответ на: комментарий от af5

Скорее патентуй новый способ поиска малвари - по имени файла.

Не файла, а библиотеки. Прочувствуй разницу. Или заставь, без рутового доступа, системный sshd подхватить библиотечную функцию из файла в, например, /tmp. Вперёд. :-)

AS ★★★★★ ()

Не надо устанавливать левое ПО, взятое непонятно откуда. и не будет проблемы. А ещё лучше ПО, которого нет в стандартных репах ,ставить только из исходников.

lucentcode ★★★★★ ()
Ответ на: комментарий от AS

Не файла, а библиотеки. Прочувствуй разницу.

В контексте вопроса разницы не вижу

Или заставь, без рутового доступа, системный sshd подхватить библиотечную функцию из файла в, например, /tmp.

То есть для установки левой библиотеки ты рутовые права всегда предоставляешь, а для копирования файла из /tmp - ни-ни?

af5 ★★★★★ ()
Ответ на: комментарий от ForwardToMars

лучше спрашивать на ЛОРе местных крупных специалистов по безопасности же!

BambarbiyaKirgudu ()
Последнее исправление: BambarbiyaKirgudu (всего исправлений: 1)
Ответ на: комментарий от ForwardToMars

Вот почему велосипед — один из самых безопасных видов транспорта. :)

Infra_HDC ★★★★★ ()
Ответ на: комментарий от ForwardToMars

Ну да, если есть время и опыт обнаружения скрытого функционала - желательно. Но когда нет ни того, ни другого - приходится доверять разработчику...

lucentcode ★★★★★ ()
Ответ на: комментарий от af5

То есть для установки левой библиотеки ты рутовые права
всегда предоставляешь, а для копирования файла из /tmp - ни-ни ?

При чём тут это ? Я просто не понимаю, откуда основание для паники. Это что, первый rootkit ? Подумаешь, разделяемую библиотеку содержит; судя по описанию, какую-то системную. Ну и что ? Её ещё надо положить в нужное место. А если возможность положить есть, это уже никак не отличается от варианта, когда есть возможность подменить исполняемый файл.

И контекст исходный - название библиотеки всё же. Интересно же, что подменяют. Хотя и не особенно принципиально, на самом деле.

AS ★★★★★ ()

подмена библиотеки, LD_PRELOAD, или внедение кода в существующую библиотеку?

exception13 ★★★★★ ()

под-линукс-вирусов-нет.j2k

anonymous ()
Ответ на: комментарий от lucentcode

Не надо устанавливать левое ПО, взятое непонятно откуда. и не будет проблемы

Смотрите, ещё один не знающий, что такое бэкдор!

AX ★★★★★ ()
Ответ на: комментарий от lucentcode

Не надо устанавливать левое ПО, взятое непонятно откуда. и не будет проблемы. А ещё лучше ПО, которого нет в стандартных репах ,ставить только из исходников.

специалиста издалека видно :)

Stil ★★★★★ ()

Не понел, rде ссылка на исходники?

anonymous ()
Ответ на: комментарий от val-amart

ты вкурсе, что такое и для чего применяется бекдор?

Прикинь, да.

у злоумышленника *уже* есть рутовые права.

Правда ?! То есть, бэкдор - это рутовые права всегда ? :-)

AS ★★★★★ ()
Ответ на: комментарий от anonymous

А ты не знал ?

Вы делаете мне вечер. :-)

Иначе это не бекдор.

Ну-ну...

AS ★★★★★ ()
Ответ на: комментарий от asaw

Я бы сделал так:

1. прячем код загрузчика бэкдора в виде ядреного модуля, который гарантированно загружается при старте системы

2. кладем либу с нужными нам функциями под невинным именем в /usr/lib

3. мониторим загрузчиком запуск процесса sshd и инжектим ему нашу либу в preload

По lsmod админу модуль не виден, на диске тоже все чисто и никаких модификаций.

А все дело в этом: https://www.kernel.org/doc/Documentation/kprobes.txt

MATPOCKUH ()
Последнее исправление: MATPOCKUH (всего исправлений: 1)
Ответ на: комментарий от MATPOCKUH

Подробности об атаке, в результате которой был установлен бэкдор, не сообщаются.

скорее всего атаки и не было. просто абидели одмина

zyoung ()

Вот так всегда

Ищешь программы, которые бы легально позволяли перехватывать системные вызовы, чтобы ограничить работу других программ - не найти, только всякие SELinux, apparmor и прочее, что требует перекомпиляции ядра. А вирусы и бэкдоры делают это на ура. Ну вот и какого хрена спрашивается?

anonymous ()
Ответ на: Вот так всегда от anonymous

Re: Вот так всегда

Я вообще не понимаю что с этим июньским Linux.Fokirtor носятся?

Сказано: risk level: very low. Сказано: The Trojan may be installed.

А может быть не инсталед. Рекомендации Симантеча сводятся к отключению папки автозапуска в кедах. Шо здесь непонятного?

noauto ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.